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1. Introduction 


The Secure Real-time Transport Protocol (SRTP) [RFC3711] is a profile 
of the Real-time Transport Protocol (RTP) [RFC3550], which can 
provide confidentiality, message authentication, and replay 
protection to the RTP traffic and to the control traffic for RTP, the 
Real-time Transport Control Protocol (RTCP). It is important to note 
that the outgoing SRTP packets from a single endpoint may be 
originating from several independent data sources. 


Authenticated Encryption [BN00] is a form of encryption that, in 
addition to providing confidentiality for the Plaintext that is 
encrypted, provides a way to check its integrity and authenticity. 
Authenticated Encryption with Associated Data, or AEAD [R02], adds 
the ability to check the integrity and authenticity of some 
Associated Data (AD), also called "Additional Authenticated Data" 
(AAD), that is not encrypted. This specification makes use of the 
interface to a generic AEAD algorithm as defined in [RFC5116]. 


The Advanced Encryption Standard (AES) is a block cipher that 
provides a high level of security and can accept different key sizes. 
AES Galois/Counter Mode (AES-GCM) [GCM] is a family of AEAD 
algorithms based upon AES. This specification makes use of the AES 
versions that use 128-bit and 256-bit keys, which we call "AES-128" 
and "AES-256", respectively. 


Any AEAD algorithm provides an intrinsic authentication tag. In many 
applications, the authentication tag is truncated to less than full 
length. In this specification, the authentication tag MUST NOT be 
truncated. The authentications tags MUST be a full 16 octets in 
length. When used in SRTP/SRICP, AES-GCM will have two 


configurations: 
AEAD AES 128  GCM AES-128 with a 16-octet authentication tag 
AEAD AES 256 GCM AES-256 with a 16-octet authentication tag 
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The key size is set when the session is initiated and SHOULD NOT be 
altered. 


The Galois/Counter Mode of operation (GCM) is an AEAD mode of 
operation for block ciphers.  GCM uses Counter Mode to encrypt the 
data, an operation that can be efficiently pipelined. Further, GCM 
authentication uses operations that are particularly well suited to 
efficient implementation in hardware, making it especially appealing 
for high-speed implementations, or for implementations in an 
efficient and compact circuit. 


In summary, this document defines how to use an AEAD algorithm, 
particularly AES-GCM, to provide confidentiality and message 
authentication within SRTP and SRTCP packets. 


2. Conventions Used in This Document 


The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", 
"SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and 
"OPTIONAL" in this document are to be interpreted as described in 
[RFC2119]. 


3. Overview of the SRTP/SRTCP AEAD Security Architecture 
SRTP/SRTCP AEAD security is based upon the following principles: 
a) Both privacy and authentication are based upon the use of 


symmetric algorithms. An AEAD algorithm such as AES-GCM 
combines privacy and authentication into a single process. 


b) A secret master key is shared by all participating endpoints -- 
both those originating SRTP/SRTCP packets and those receiving 
these packets. Any given master key MAY be used simultaneously 
by several endpoints to originate SRTP/SRTCP packets (as well 
as one or more endpoints using this master key to process 
inbound data). 


C) A Key Derivation Function (KDF) is applied to the shared master 
key value to form separate encryption keys, authentication 
keys, and salting keys for SRTP and for SRTCP (a total of six 
keys). This process is described in Section 4.3 of [RFC3711]. 
The master key MUST be at least as large as the encryption key 
derived from it. Since AEAD algorithms such as AES-GCM combine 
encryption and authentication into a single process, AEAD 
algorithms do not make use of separate authentication keys. 
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d) Aside from making modifications to IANA registries to allow 
AES-GCM to work with Security Descriptions (SDES), Datagram 
Transport Layer Security for Secure RTP (DTLS-SRTP), and 
Multimedia Internet KEYing (MIKEY), the details of how the 
master key is established and shared between the participants 
are outside the scope of this document. Similarly, any 
mechanism for rekeying an existing session is outside the scope 
of the document. 


e) Each time an instantiation of AES-GCM is invoked to encrypt and 
authenticate an SRTP or SRTCP data packet, a new Initialization 
Vector (IV) is used. SRTP combines the 4-octet Synchronization 
Source (SSRC) identifier, the 4-octet Rollover Counter (ROC), 
and the 2-octet Sequence Number (SEQ) with the 12-octet 
encryption salt to form a 12-octet IV (see Section 8.1). 

SRTCP combines the SSRC and 31-bit SRTCP index with the 
encryption salt to form a 12-octet IV (see Section 9.1). 


4. Terminology 


The following terms have very specific meanings in the context of 
this RFC: 


Instantiation: In AEAD, an instantiation is an (Encryption key, 
salt) pair together with all of the data structures 
(for example, counters) needed for it to function 
properly. In SRTP/SRTCP, each endpoint will need 
two instantiations of the AEAD algorithm for each 
master key in its possession: one instantiation for 
SRTP traffic and one instantiation for SRTCP 
traffic. 


Invocation: SRTP/SRTCP data streams are broken into packets. 
Each packet is processed by a single invocation of 
the appropriate instantiation of the AEAD 
algorithm. 


In many applications, each endpoint will have one master key for 


processing outbound data but may have one or more separate master 
keys for processing inbound data. 
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5. Generic AEAD Processing 
5.1. Types of Input Data 


Associated Data: Data that is to be authenticated but not 


encrypted. 

Plaintext: Data that is to be both encrypted and 
authenticated. 

Raw Data: Data that is to be neither encrypted nor 
authenticated. 


Which portions of SRIP/SRICP packets that are to be treated as 
Associated Data, which are to be treated as Plaintext, and which are 
to be treated as Raw Data are covered in Sections 8.2, 9.2, and 9.3. 


5.2.  AEAD Invocation Inputs and Outputs 


5.2.1.  Encrypt Mode 


Inputs: 
Encryption key Octet string, either 16 or 
32 octets long 
Initialization Vector Octet string, 12 octets long 
Associated Data Octet string of variable length 
Plaintext Octet string of variable length 
Outputs: 
Ciphertext* Octet string, length - 


length(Plaintext) + tag length 


(*): In AEAD, the authentication tag in embedded in the 
ciphertext. When GCM is being used, the ciphertext 
consists of the encrypted Plaintext followed by the 
authentication tag. 
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5.2.2. Decrypt Mode 


Inputs: 
Encryption key Octet string, either 16 or 
32 octets long 
Initialization Vector Octet string, 12 octets long 
Associated Data Octet string of variable length 
Ciphertext Octet string of variable length 
Outputs: 
Plaintext Octet string, length - 
length(Ciphertext) - tag length 
Validity Flag Boolean, TRUE if valid, 


FALSE otherwise 
5.3. Handling of AEAD Authentication 


AEAD requires that all incoming packets MUST pass AEAD authentication 
before any other action takes place. Plaintext and Associated Data 
MUST NOT be released until the AEAD authentication tag has been 
validated. Further, the ciphertext MUST NOT be decrypted until the 
AEAD tag has been validated. 


Should the AEAD tag prove to be invalid, the packet in question is to 
be discarded and a Validation Error flag raised. Local policy 
determines how this flag is to be handled and is outside the scope of 
this document. 


6. Counter Mode Encryption 


Each outbound packet uses a 12-octet IV and an encryption key to form 
two outputs: 


o a 16-octet first key block, which is used in forming the 
authentication tag, and 


O a keystream of octets, formed in blocks of 16 octets each 
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The first 16-octet block of the key is saved for use in forming the 
authentication tag, and the remainder of the keystream is XORed to 
the Plaintext to form the cipher. This keystream is formed one block 
at a time by inputting the concatenation of a 12-octet IV (see 
Sections 8.1 and 9.1) with a 4-octet block to AES. The pseudocode 
below illustrates this process: 


def GCM keystream( Plaintext len, IV, Encryption key ): 
assert Plaintext len <= (2**36) - 32 ## measured in octets 
key stream - "" 
block counter = 1 
first key block = AES ENC( data-IV||block counter, 
key-Encryption key ) 

while len(key stream) « Plaintext len: 

block counter = block counter + 1 

key block = AES ENC( data-IV||block counter, 

key-Encryption key ) 

key stream - key stream||key block 
key stream = truncate( key stream, Plaintext len ) 
return( first key block, key stream ) 


In theory, this keystream generation process allows for the 
encryption of up to (2^36) - 32 octets per invocation (i.e., per 
packet), far longer than is actually required. 


With any counter mode, if the same (IV, Encryption key) pair is used 
twice, precisely the same keystream is formed. As explained in 
Section 9.1 of [RFC3711], this is a cryptographic disaster. For GCM, 
the consequences are even worse, since such a reuse compromises GCM's 
integrity mechanism not only for the current packet stream but for 
all future uses of the current encryption key. 


7.  Unneeded SRTP/SRTCP Fields 


AEAD Counter Mode encryption removes the need for certain existing 
SRTP/SRTCP mechanisms. 


7.1.  SRTP/SRTCP Authentication Tag Field 


The AEAD message authentication mechanism MUST be the primary message 
authentication mechanism for AEAD SRTP/SRTCP. Additional SRTP/SRTCP 
authentication mechanisms SHOULD NOT be used with any AEAD algorithm, 
and the optional SRTP/SRICP authentication tags are NOT RECOMMENDED 
and SHOULD NOT be present. Note that this contradicts Section 3.4 of 
[RFC3711], which makes the use of the SRTCP authentication tag field 
mandatory, but the presence of the AEAD authentication renders the 
older authentication methods redundant. 
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8. 


8. 


Rationale: Some applications use the SRTP/SRTCP authentication tag 
as a means of conveying additional information, notably [RFC4771]. 
This document retains the authentication tag field primarily to 
preserve compatibility with these applications. 


.2. RTP Padding 


AES-GCM does not require that the data be padded out to a specific 
block size, reducing the need to use the padding mechanism provided 
by RTP. It is RECOMMENDED that the RTP padding mechanism not be used 
unless it is necessary to disguise the length of the underlying 
Plaintext. 


AES-GCM Processing for SRTP 
1. SRTP IV Formation for AES-GCM 


Os 20r eo 30, de. Or dO 0 MOS cde Y 

0 1 2 3 4 5 6 7 8 9 0 1 
十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 
[00|00| SSRC | ROC | SEQ |---+ 
十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 


十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 
| Initialization Vector | «-- 
十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 


Figure 1: AES-GCM SRTP Initialization Vector Formation 


The 12-octet IV used by AES-GCM SRTP is formed by first concatenating 
2 octets of zeroes, the 4-octet SSRC, the 4-octet rollover counter 
(ROC), and the 2-octet sequence number (SEQ). The resulting 12-octet 
value is then XORed to the 12-octet salt to form the 12-octet IV. 
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8.2. Data Types in SRTP Packets 


All SRTP packets MUST be both authenticated and encrypted. 


The data 


fields within the RTP packets are broken into Associated Data, 


Plaintext, 


Associated Data: 


Plaintext: 


Raw Data: 


and Raw Data, as follows 


(see Figure 2): 


The version V (2 bits), padding flag P (1 bit), 
extension flag X (1 bit), Contributing Source 
(CSRC) count CC (4 bits), marker M (1 bit), 
Payload Type PT (7 bits), sequence number 

(16 bits), timestamp (32 bits), SSRC (32 bits), 
optional CSRC identifiers (32 bits each), and 
optional RTP extension (variable length). 


The RTP payload (variable length), RTP padding 
(if used, variable length), and RTP pad count (if 
used, 1 octet). 


The optional variable-length SRTP Master Key 
Identifier (MKI) and SRTP authentication tag 
(whose use is NOT RECOMMENDED). These fields are 
appended after encryption has been performed. 


0 1 
0123456789012 


2 3 
3456789012345678901 


十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A |v=2|P|x| cc Jm] PT | sequence number 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | timestamp | 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | synchronization source (SSRC) identifier 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | contributing source (CSRC) identifiers (optional) | 
A | DC | 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | RIP extension (OPTIONAL) | 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | payload | 
P | 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
P | | RTP padding | RTP pad count | 
+ 


十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 


P = Plaintext (to 


be encrypted and authenticated) 


A = Associated Data (to be authenticated only) 


Figure 2: Structure of an RTP Packet before Authenticated Encryption 
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Since the AEAD ciphertext is larger than the Plaintext by exactly the 
length of the AEAD authentication tag, the corresponding 
SRTP-encrypted packet replaces the Plaintext field with a slightly 
larger field containing the cipher. Even if the Plaintext field is 
empty, AEAD encryption must still be performed, with the resulting 
cipher consisting solely of the authentication tag. This tag is to 
be placed immediately before the optional variable-length SRTP MKI 
and SRTP authentication tag fields. 


0 I 2 3 
012345678901234567890123456789 021 


—R—R——R-——R-——R-—R-—R-—R-—L-—R-——L——L-—L-——tL-—L--4-.-— 
A |v=2|P|x| cc |M| PT | sequence number 
t—R—R——R-——R-——R-—R-—R-—L-—L-—L-——L-—L-—L-—tL-—tL-.-—t-.-— 
A | timestamp | 
B—R—R——R-——R-——R-—R-—L-—R-—RL-—L——L-—R-—L——L-—L-—4-.- 
A | synchronization source (SSRC) identifier 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | contributing source (CSRC) identifiers (optional) | 
A | eid | 
B—R—R——R-————R-——R-—R-—-—R-—L-——-—L-—tL-—L-—L-.-—4- 
A | RTP extension (OPTIONAL) | 
t—R—R——R-——R-—R-—R-—R-—R-—L-—L-——L-—L-—L——tL-.—L--—4-.-— 
C | cipher | 
c | | 
C | | 
B—R—R——R-——R-—R-—R-—R-—R-—L-—L-—L-——L-—L——L-—L——4-.-— 
R : SRTP MKI (OPTIONAL) : 
—R—R——R-——R-—R-—R-—R-—L-—L-——L——L-—t-—L-—L-—L--4-.-— 
R : SRTP authentication tag (NOT RECOMMENDED) 


十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 


= Ciphertext (encrypted and authenticated) 
Associated Data (authenticated only) 
neither encrypted nor authenticated, added 
after Authenticated Encryption completed 


ara 
ll 


Figure 3: Structure of an SRTP Packet after Authenticated Encryption 
8.3. Handling Header Extensions 


RTP header extensions were first defined in [RFC3550].  [RFC6904] 
describes how these header extensions are to be encrypted in SRTP. 


When RFC 6904 is in use, a separate keystream is generated to encrypt 
selected RTP header extension elements. For the AEAD AES 128 GCM 
algorithm, this keystream MUST be generated in the manner defined in 
[RFC6904], using the AES Counter Mode (AES-CM) transform. For the 
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AEAD AES 256 GCM algorithm, the keystream MUST be generated in the 
manner defined for the AES 256 CM transform. The originator must 
perform any required header extension encryption before the AEAD 
algorithm is invoked. 


As with the other fields contained within the RTP header, both 
encrypted and unencrypted header extensions are to be treated by the 
AEAD algorithm as Associated Data (AD). Thus, the AEAD algorithm 
does not provide any additional privacy for the header extensions, 
but it does provide integrity and authentication. 


8.4. Prevention of SRTP IV Reuse 


In order to prevent IV reuse, we must ensure that the (ROC,SEQ,SSRC) 
triple is never used twice with the same master key. The following 
two scenarios illustrate this issue: 


Counter Management: A rekey MUST be performed to establish a new 
master key before the (ROC,SEQ) pair cycles 
back to its original value. Note that this 
Scenario implicitly assumes that either 
(1) the outgoing RTP process is trusted to not 
attempt to repeat a (ROC,SEQ) value or (2) the 
encryption process ensures that both the SEQ 
and ROC numbers of the packets presented to it 
are always incremented in the proper fashion. 
This is particularly important for GCM, since 
using the same (ROC,SEQ) value twice 
compromises the authentication mechanism. For 
GCM, the (ROC,SEQ) and SSRC values used MUST 
be generated or checked by either the SRTP 
implementation or a module (e.g., the RTP 
application) that can be considered equally 
trustworthy. While [RFC3711] allows the 
detection of SSRC collisions after they 
happen, SRTP using GCM with shared master keys 
MUST prevent an SSRC collision from happening 
even once. 


SSRC Management: For a given master key, the set of all SSRC 
values used with that master key must be 
partitioned into disjoint pools, one pool for 
each endpoint using that master key to 
originate outbound data. Each such 
originating endpoint MUST only issue SSRC 
values from the pool it has been assigned. 
Further, each originating endpoint MUST 
maintain a history of outbound SSRC 
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identifiers that it has issued within the 
lifetime of the current master key, and when a 
new SSRC requests an SSRC identifier it 

MUST NOT be given an identifier that has been 
previously issued. A rekey MUST be performed 
before any of the originating endpoints using 
that master key exhaust their pools of SSRC 
values. Further, the identity of the entity 
giving out SSRC values MUST be verified, and 


9. 


9. 
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the SSRC signaling MUST be integrity 
protected. 


AES-GCM Processing of SRTCP Compound Packets 


All SRTCP compound packets MUST be authenticated, but unlike SRIP, 
SRTCP packet encryption is optional. A sender can select which 
packets to encrypt and indicates this choice with a 1-bit 
Encryption flag (located just before the 31-bit SRTCP index). 


T6 SRTCP IV Formation for AES-GCM 


The 12-octet IV used by AES-GCM SRTCP is formed by first 
concatenating 2 octets of zeroes, the 4-octet SSRC identifier, 

2 octets of zeroes, a single "0" bit, and the 31-bit SRTCP index. 
The resulting 12-octet value is then XORed to the 12-octet salt to 
form the 12-octet IV. 


0 1 2 3 4 5 6 7 8 91011 
十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 
[00|00| SSRC  |00|00|0+SRTCP Idx|---+ 
十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 | 


十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 | 
Encryption Salt |-> (+) 

十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 | 

+ 


十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 
| Initialization Vector |<-- 


十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 一 一 十 


Figure 4: SRICP Initialization Vector Formation 
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9.2. Data Types in Encrypted SRTCP Compound Packets 


0 il 2 3 
oT 234 567g 90 I 2 3A567889 0123456783 9 021 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 


A |v=2|P| Rc | Packet Type | length 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | synchronization source (SSRC) of sender 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | sender info 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | report block 1 : 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | report block 2 : 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P |v=2|P| sc Packet Type | length 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | SSRC/CSRC_1 | 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
P | SDES items 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
» | 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A |1| SRTCP index 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
及 | SRTCP MKI (optional) index : 

十 一 


十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
R : SRTCP authentication tag (NOT RECOMMENDED) : 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 


= Plaintext (to be encrypted and authenticated) 

Associated Data (to be authenticated only) 

= neither encrypted nor authenticated, added after 
encryption 


P 
A 
R 


Figure 5: AEAD SRTCP Inputs When Encryption Flag = 1 
(The fields are defined in RFC 3550.) 
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When the Encryption flag is set to 1, the SRTCP packet is broken into 
Plaintext, Associated Data, and Raw (untouched) Data (as shown above 
in Figure 5): 


Associated Data: The packet version V (2 bits), padding flag P 
(1 bit), reception report count RC (5 bits), 
Packet Type (8 bits), length (2 octets), SSRC 
(4 octets), Encryption flag (1 bit), and SRTCP 
index (31 bits). 


Raw Data: The optional variable-length SRTCP MKI and SRTCP 
authentication tag (whose use is 
NOT RECOMMENDED). 


Plaintext: All other data. 


Note that the Plaintext comes in one contiguous field. Since the 
AEAD cipher is larger than the Plaintext by exactly the length of the 
AEAD authentication tag, the corresponding SRTCP-encrypted packet 
replaces the Plaintext field with a slightly larger field containing 
the cipher. Even if the Plaintext field is empty, AEAD encryption 
must still be performed, with the resulting cipher consisting solely 
of the authentication tag. This tag is to be placed immediately 
before the Encryption flag and SRTCP index. 
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9.3. Data Types in Unencrypted SRTCP Compound Packets 


0 J 2 3 
0 1 2-3 4. 5.6 4:8 9-0 1 2.3 4 5 6 7.8.9 0-1.2-3. 4 5 6 78-9 0 1 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 


A |v=2|P| Rc | Packet Type | length 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | synchronization source (SSRC) of sender 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
X | sender info 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | report block 1 : 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | report block 2 : 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A |v=2|P| sc Packet Type | length 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | SSRC/CSRC 1 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A | SDES items : 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
a | 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
A |o] SRTCP index 

十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
及 | SRTCP MKI (optional) index : 

十 一 


十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
R : authentication tag (NOT RECOMMENDED) : 
十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 


A = Associated Data (to be authenticated only) 
= neither encrypted nor authenticated, added after 
encryption 


由 
| 


Figure 6: AEAD SRICP Inputs When Encryption Flag = 0 
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9. 


10. 


When the Encryption flag is set to 0, the SRTCP compound packet is 
broken into Plaintext, Associated Data, and Raw (untouched) Data, as 
follows (see Figure 60): 


Plaintext: None. 


Raw Data: The variable-length optional SRTCP MKI and SRTCP 
authentication tag (whose use is 
NOT RECOMMENDED). 


Associated Data: All other data. 


Even though there is no ciphertext in this RTCP packet, AEAD 
encryption returns a cipher field that is precisely the length of the 
AEAD authentication tag. This cipher is to be placed before the 
Encryption flag and the SRTCP index in the authenticated SRTCP 
packet. 


4. Prevention of SRTCP IV Reuse 


A new master key MUST be established before the 31-bit SRTCP index 
cycles back to its original value. Ideally, a rekey should be 
performed and a new master key put in place well before the SRTCP 
index cycles back to the starting value. 


The comments on SSRC management in Section 8.4 also apply. 
Constraints on AEAD for SRTP and SRTCP 


In general, any AEAD algorithm can accept inputs with varying 
lengths, but each algorithm can accept only a limited range of 
lengths for a specific parameter. In this section, we describe the 
constraints on the parameter lengths that any AEAD algorithm must 
support to be used in AEAD-SRTP. Additionally, we specify a complete 
parameter set for one specific family of AEAD algorithms, namely 
AES-GCM. 
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All AEAD algorithms used with SRIP/SRTCP MUST satisfy the five 
constraints listed below: 


Parameter Meaning Value 
A MAX maximum Associated MUST be at least 12 octets. 
Data length 


N MIN minimum nonce (IV) MUST be 12 octets. 
length 
N MAX maximum nonce (IV) MUST be 12 octets. 
length 
P MAX maximum Plaintext GCM: MUST be «- 2^36 - 32 octets. 


length per invocation 


C MAX maximum ciphertext GCM: MUST be «- 2^36 - 16 octets. 
length per invocation 


For the sake of clarity, we specify three additional parameters: 


AEAD authentication tag length MUST be 16 octets 


Maximum number of invocations SRTP: MUST be at most 2^48 
for a given instantiation SRTCP: MUST be at most 2^31 
Block Counter size GCM: MUST be 32 bits 


The reader is reminded that the ciphertext is longer than the 
Plaintext by exactly the length of the AEAD authentication tag. 


11. Key Derivation Functions 


A Key Derivation Function (KDF) is used to derive all of the required 
encryption and authentication keys from a secret value shared by the 
endpoints. The AEAD AES 128 GCM algorithm MUST use the (128-bit) 

AES CM PRF KDF described in [RFC3711].  AEAD AES 256 GCM MUST use the 
AES 256 CM PRF KDF described in [RFC6188]. 
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12: 


Summary of AES-GCM in SRTP/SRTCP 


For convenience, much of the information about the use of the AES-GCM 
family of algorithms in SRTP is collected in the tables contained in 
this section. 


The AES-GCM family of AEAD algorithms is built around the AES block 
cipher algorithm.  AES-GCM uses AES-CM for encryption and Galois 
Message Authentication Code (GMAC) for authentication. A detailed 
description of the AES-GCM family can be found in [RFC5116]. The 
following members of the AES-GCM family may be used with SRTP/SRTCP: 


Name Key Size AEAD Tag Size Reference 
AEAD AES 128 GCM 16 octets 16 octets [RFC5116] 
AEAD AES 256 GCM 32 octets 16 octets [RFC5116] 


Table 1: AES-GCM Algorithms for SRTP/SRICP 


Any implementation of AES-GCM SRTP MUST support both AEAD AES 128 GCM 
and AEAD AES 256 GCM. Below, we summarize parameters associated with 
these two GCM algorithms: 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Parameter | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Master key length | 128 bits 

Master salt length 96 bits 

Key Derivation Function AES_CM PRF [RFC3711] 
| Maximum key lifetime (SRTP) | 2°48 packets 
| Maximum key lifetime (SRTCP) | 2°31 packets 
| Cipher (for SRTP and SRTCP) | AEAD_AES_128_GCM | 
| AEAD authentication tag length | 128 bits 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


Table 2: The AEAD AES 128 GCM Crypto Suite 
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十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Parameter | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Master key length | 256 bits 
| Master salt length | 96 bits 
| Key Derivation Function | AES_256_CM_PRF [RFC6188] | 
| Maximum key lifetime (SRTP) | 2^48 packets 
| Maximum key lifetime (SRTCP) | 2^31 packets 

Cipher (for SRTP and SRTCP) AEAD AES 256 GCM 

AEAD authentication tag length 128 bits 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


Table 3: The AEAD AES 256 GCM Crypto Suite 
13. Security Considerations 
13.1. Handling of Security-Critical Parameters 


As with any security process, the implementer must take care to 
ensure that cryptographically sensitive parameters are properly 
handled. Many of these recommendations hold for all SRTP 
cryptographic algorithms, but we include them here to emphasize their 
importance. 


- If the master salt is to be kept secret, it MUST be properly erased 
when no longer needed. 


- The secret master key and all keys derived from it MUST be kept 
secret. All keys MUST be properly erased when no longer needed. 


- At the start of each packet, the Block Counter MUST be reset to 1l. 
The Block Counter is incremented after each block key has been 
produced, but it MUST NOT be allowed to exceed 2^32 - 1 for GCM. 
Note that even though the Block Counter is reset at the start of 
each packet, IV uniqueness is ensured by the inclusion of 
SSRC/ROC/SEQ or the SRTCP index in the IV. (The reader is reminded 
that the first block of key produced is reserved for use in 
authenticating the packet and is not used to encrypt Plaintext.) 


- Each time a rekey occurs, the initial values of both the 31-bit 
SRTCP index and the 48-bit SRTP packet index (ROC||SEQ) MUST be 
saved in order to prevent IV reuse. 


- Processing MUST cease if either the 31-bit SRICP index or the 
48-bit SRTP packet index (ROC||SEQ) cycles back to its initial 
value. Processing MUST NOT resume until a new SRTP/SRTCP session 
has been established using a new SRTP master key. Ideally, a rekey 
should be done well before any of these counters cycle. 
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13.2. Size of the Authentication Tag 


We require that the AEAD authentication tag be 16 octets, in order to 
effectively eliminate the risk of an adversary successfully 
introducing fraudulent data. Though other protocols may allow the 
use of truncated authentication tags, the consensus of the authors 
and the working group is that risks associated with using truncated 
AES-GCM tags are deemed too high to allow the use of truncated 
authentication tags in SRTP/SRICP. 


14.  IANA Considerations 
14.1. SDES 


"Session Description Protocol (SDP) Security Descriptions for Media 
Streams" [RFC4568] defines SRTP "crypto suites". A crypto suite 
corresponds to a particular AEAD algorithm in SRTP. In order to 
allow security descriptions to signal the use of the algorithms 
defined in this document, IANA has registered the following crypto 
suites in the "SRTP Crypto Suite Registrations" subregistry of the 
"Session Description Protocol (SDP) Security Descriptions" registry. 
The ABNF [RFC5234] syntax is as follows: 


srtp-crypto-suite-ext - "AEAD AES 128 GCM" / 


"AEAD AES 256 GCM" / 
srtp-crypto-suite-ext 
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14.2.  DTLS-SRTP 


DTLS-SRTP [RFC5764] defines DTLS-SRTP "SRTP protection profiles". 
These profiles also correspond to the use of an AEAD algorithm in 
SRTP. In order to allow the use of the algorithms defined in this 
document in DTLS-SRTP, IANA has registered the following SRTP 
protection profiles: 


SRTP AEAD AES 128 GCM 
SRTP AEAD AES 256 GCM 


(0x00, 0x07} 
(0x00, 0x08) 


Below, we list the SRTP transform parameters for each of these 
protection profiles. Unless separate parameters for SRTP and SRTCP 
are explicitly listed, these parameters apply to both SRTP and SRICP. 


SRTP AEAD AES 128 GCM 


cipher: AES 128 GCM 

cipher key length: 128 bits 

cipher salt length: 96 bits 

aead auth tag length: 16 octets 

auth function: NULL 

auth key length: N/A 

auth tag length: N/A 

maximum lifetime: at most 2^31 SRTCP packets and 


at most 2^48 SRTP packets 


SRTP AEAD AES 256 GCM 


cipher: AES 256 GCM 

cipher key length: 256 bits 

cipher salt length: 96 bits 

aead auth tag length: 16 octets 

auth function: NULL 

auth key length: N/A 

auth tag length: N/A 

maximum lifetime: at most 2^31 SRTCP packets and 


at most 2^48 SRTP packets 


Note that these SRTP protection profiles do not specify an 

auth function, auth key length, or auth tag length, because all 

of these profiles use AEAD algorithms and thus do not use a 
Separate auth function, auth key, or auth tag. The term 

"aead auth tag length" is used to emphasize that this refers to 

the authentication tag provided by the AEAD algorithm and that 

this tag is not located in the authentication tag field provided by 
SRTP/SRTCP. 
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14.3. MIKEY 


In accordance with "MIKEY: Multimedia Internet KEYing" [RFC3830], 
IANA maintains several subregistries under "Multimedia Internet 
KEYing (MIKEY) Payload Name Spaces". Per this document, additions 
have been made to two of the MIKEY subregistries. 


In the "MIKEY Security Protocol Parameters" subregistry, the 
following has been added: 


Type | Meaning | Possible Values 


20 | AEAD authentication tag length | 16 octets 


This list is, of course, intended for use with GCM. It is 
conceivable that new AEAD algorithms introduced at some point in the 
future may require a different set of authentication tag lengths. 


In the "Encryption algorithm (Value 0)" subregistry (derived from 
Table 6.10.1.b of [RFC3830]), the following has been added: 


SRTP Encr. Value Default Session Default Auth. 
Algorithm Encr. Key Length Tag Length 
AES-GCM | 6 | 16 octets | 16 octets 


The encryption algorithm, session encryption key length, and AEAD 
authentication tag sizes received from MIKEY fully determine the AEAD 
algorithm to be used. The exact mapping is described in Section 15. 


15. Parameters for Use with MIKEY 
MIKEY specifies the algorithm family separately from the key length 


(which is specified by the Session Encryption key length) and the 
authentication tag length (specified by the AEAD authentication tag 


length). 
二 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Encryption | Encryption | AEAD Auth. | 
| Algorithm | Key Length | Tag Length | 
+ + + + 
AEAD AES 128 GCM | AES-GCM | 16 octets | 16 octets | 
二 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
AEAD_AES_256_GCM | AES-GCM | 32 octets | 16 octets | 
+ + + + 


Table 4: Mapping MIKEY Parameters to AEAD Algorithms 
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16. 


Section 11 of this document restricts the choice of KDF for AEAD 
algorithms. To enforce this restriction in MIKEY, we require that 
the SRTP Pseudorandom Function (PRF) has value AES-CM whenever an 
AEAD algorithm is used. Note that, according to Section 6.10.1 of 
[RFC3830], the input key length of the KDF (i.e., the SRTP master key 
length) is always equal to the session encryption key length. This 
means, for example, that AEAD AES 256 GCM will use AES 256 CM PRF as 
the KDF. 


Some RTP Test Vectors 
The examples in this section are all based upon the same RTP packet 


8040f17b 8041f8d3 5501a0b2 47616c6c 
69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 
6573 


consisting of a 12-octet header (8040f17b 8041f8d3 5501a0b2) and a 
38-octet payload (47616c6c 69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 6573), which is just the ASCII 
string "Gallia est omnis divisa in partes tres". The salt used 
(51756964 2070726f 2071756f) comes from the ASCII string "Quid pro 
quo". The 16-octet (128-bit) key is 00 01 02 ... Of, and the 
32-octet (256-bit) key is 00 01 02 ... 1f. At the time this document 
was written, the RTP payload type (1000000 binary = 64 decimal) was 
an unassigned value. 


As shown in Section 8.1, the IV is formed by XORing two 12-octet 
values. The first 12-octet value is formed by concatenating two 

zero octets, the 4-octet SSRC (found in the ninth through 12th octets 
of the packet), the 4-octet rollover counter (ROC) maintained at each 
end of the link, and the 2-octet sequence number (SEQ) (found in the 
third and fourth octets of the packet). The second 12-octet value is 
the salt, a value that is held constant at least until the key is 
changed. 


| Pad | SSRC | ROC | SEQ | 
00 00 55 01 a0 b2 00 00 00 00 fl 7b 
salt 51 75 69 64 20 70 72 6f 20 71 75 6f 


IV 51 75 3c 65 80 c2 72 6f 20 71 84 14 


All of the RTP examples use this IV. 
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16.1. SRTP AEAD AES 128 GCM 


16.1.1. SRTP AEAD AES 128 GCM Encryption 


Encrypting the following packet: 


8040f17b 8041f8d3 
69612065 7374206f 
69736120 696e2070 
6573 


5501a0b2 
6d6e6973 
61727465 


47616c6c 
20646976 
73207472 


Form the IV 

| Pad | 
00 00 
51 75 
51 45 


ROC 
00 00 
6f 20 
6f 20 


SSRC | 

01 a0 b2 00 
64 20 70 72 
65 80 c2 72 


| SEQ | 
fl 7b 
75 6£ 
84 14 


55 
69 
3c 


00 
71 
71 


salt: 
IV: 


00 01 02 
8040f17b 
47616c6c 
20646976 
73207472 6573 

IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 
H: c6a13b37878f50826f4f8162a1c8d879 


03 04 05 
8041f8da3 
69612065 
69736120 


06 07 08 
5501a0b2 
7374206f 
696e2070 


Key: 09 Oa Ob Oc Od Oe Of 


AAD: 
PT3 6d6e6973 


61727465 


Encrypt the Plaintext 


block # 0 
IV| |blk_cntr: 51753c6580c2726f2071841400000002 
key block: b5 2c 8f cf 92 55 fe 09 df ce a6 73 fO 10 22 b9 
plain block: 47 61 6c 6c 69 61 20 65 73 74 20 6f 6d 6e 69 73 
cipher block: f2 4d e3 a3 fb 34 de 6c ac ba 86 1c 9d 7e 4b ca 
block # 1 
IV||blk cntr: 51753c6580c2726£2071841400000003 
key block: 9e 07 52 a3 64 5a 2f 4f 2b cb d4 Oa 30 b5 a5 fe 
plain block: 20 64 69 76 69 73 61 20 69 6e 20 70 61 72 74 65 
cipher block: be 63 3b d5 0d 29 4e 6f 42 a5 f4 7a 51 c7 dl 9b 
block # 2 
IV||bl1k cntr: 51753c6580c2726£2071841400000004 
key block: 45 fe 4e ad ed 40 Oa 5d la £3 63 £9 Oc el 49 3b 


plain block: 
cipher block: 


Cipher before 
f24de3a3 
be633bd5 
36de3adf 


McGrew & Igoe 


73 20 74 72 65 73 
36 de 3a df 88 33 


tag appended 

fb34de6c acba861c 9d7e4bca 
0d294e6f 42a5f47a 51c7d19b 
8833 
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Compute the GMAC tag 


Process the AAD 
AAD word: 
partial hash: 


8040£1758041£8435501a05200000000 
bcfb3d1d0e6e3e78ba45403377dballb 


Process the cipher 


cipher word: 
partial hash: 
cipher word: 
partial hash: 
cipher word: 
partial hash: 


f24de3a3fb34de6cacba861c9d7e4bca 
OebcOabelb15b32fedd25007888clef61 
be633bd50d294e6f42a5f47a51c7d19b 
438e5797011ea860585709a2899F4685 
36de3adf883300000000000000000000 
336fb643310d7bac2aeaa76247£6036d 


Process the length word 


length word: 
partial hash: 


00000000000000600000000000000130 
1b964067078c408c4e442a8f015e5264 


Turn GHASH into GMAC 


GHASH: 


full GMAC: 


December 2015 


lb 96 40 67 07 8c 40 8c 4e 44 2a 8f 01 5e 52 64 


KO: 92 Ob 3f 40 b9 3d 2a 1d lc 8b 5c dl e5 67 5e aa 


Cipher with tag 


f24de3a3 
be633bd5 
36de3adf 
765ee439 


Encrypted and 
8040f17b 
fb34de6c 
0d294e6f 
8833899d 
Occe 


McGrew & Igoe 


fb34de6c acba861c 
0d294e6f 42ab5f47a 
8833899d 7f27beb1 
Occe 


tagged packet: 

8041f8d3 5501a0b2 
acba861c 9d7e4bca 
42a5f47a 51c7d19b 
7£2'7bebl 6a9152cf 


Standards Track 


9d7e4bca 
51c7d19b 
6a9152cf 


f24de3a3 
be633bd5 
36de3adf 
765ee439 


89 9d 7f 27 be bl 6a 91 52 cf 76 5e e4 39 Oc ce 
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16.1.2. SRTP AEAD AES 128. GCM Decryption 
Decrypting the following packet: 


8040f17b 8041f8d3 5501a0b2 f24de3a3 
fb34de6c acba861c 9d7e4bca be633bd5 
0d294e6f 42a5f47a 51c7d19b 36de3adf 
8833899d 7f27bebl 6a9152cf 765ee439 
Occe 


Form the IV 
| Pad | SSRC | ROC | SEQ | 
00 00 55 01 a0 b2 00 00 00 00 f1 7b 
salt: 51 75 69 64 20 70 72 6f 20 71 75 6f 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 


Key: 00 01 02 03 04 05 06 07 08 09 Oa Ob Oc Od Oe OF 
AAD: 8040f17b 8041f8d3 5501a0b2 
CT: f24de3a3 fb34de6c acba861c 9d7e4bca 
be633bd5 0d294e6f 42a5f47a 51c7d19b 
36de3adf 8833899d 7f27beb1 6a9152cf 
765ee439 Occe 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 
H: c6a13b37878f50826f4f8162a1c8d879 


Verify the received tag 
89 9d 7f 27 be bl 6a 91 52 cf 76 5e e4 39 0c ce 


Process the AAD 
AAD word: 8040f17b8041£8d35501a0b200000000 
partial hash: bcfb3d1d0e6e3e78ba45403377dballb 


Process the cipher 
cipher word: f24de3a3fb34de6cacba861c9d7e4bca 
partial hash: O0ebc0abelb15b32fedd2b07888clef61 
cipher word: be633bd50d294e6f42a5f47a51c7d19b 
partial hash: 438e5797011ea860585709a2899f4685 
cipher word: 36de3adf883300000000000000000000 
partial hash: 336fb643310d7bac2aeaa76247£6036d 


Process the length word 


length word: 00000000000000600000000000000130 
partial hash: 1b964067078c408c4e442a8f015e5264 
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Turn GHASH into GMAC 
GHASH: 1b 96 40 67 07 8c 40 8c 4e 44 2a 8f 01 5e 52 64 
KO: 92 0b 3f 40 b9 3d 2a 1d lc 8b 5c dl e5 67 5e aa 
full GMAC: 89 9d 7f 27 be bl 6a 91 52 cf 76 5e e4 39 Oc ce 


Received tag = 899d7f27 bebl6a91 52cf765e e4390cce 
Computed tag = 899d7f27 bebl6a91 52cf765e e4390cce 
Received tag verified. 


Decrypt the cipher 
block # 0 
Iv||blk_cntr: 51753c6580c2726£2071841400000002 
key block: b5 2c 8f cf 92 55 fe 09 df ce a6 73 £0 10 22 b9 
cipher block: f2 4d e3 a3 fb 34 de 6c ac ba 86 1c 9d 7e 4b ca 
plain block: 47 61 6c 6c 69 61 20 65 73 74 20 6f 6d 6e 69 73 
block # 1 
IV||blk cntr: 51753c6580c2726£2071841400000003 
key block: 9e 07 52 a3 64 5a 2f 4f 2b cb d4 Oa 30 b5 a5 fe 
cipher block: be 63 3b d5 0d 29 4e 6f 42 a5 f4 7a 51 c7 dl 9b 
plain block: 20 64 69 76 69 73 61 20 69 6e 20 70 61 72 74 65 
block # 2 
IV||blk cntr: 51753c6580c2726£2071841400000004 
key block: 45 fe 4e ad ed 40 Oa 5d la £3 63 £9 Oc el 49 3b 
cipher block: 36 de 3a df 88 33 
plain block: 73 20 74 72 65 73 


Verified and tagged packet: 
47616c6c 69612065 7374206f 6d6e6973 
20646976 69736120 696e2070 61727465 
73207472 6573 


McGrew & Igoe Standards Track [Page 28] 


RFC 7714 AES-GCM for SRTP December 2015 


16.1.3. SRIP AEAD AES 128 GCM Authentication Tagging 
Tagging the following packet: 


8040f17b 8041f8d3 5501a0b2 47616c6c 
69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 
6573 


Form the IV 
| Pad |  SsRC | ROC | SEQ | 
00 00 55 01 a0 b2 00 00 00 00 f1 7b 
salt: 51 75 69 64 20 70 72 6f 20 71 75 6f 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 


Key: 00 01 02 03 04 05 06 07 08 09 Oa Ob Oc Od Oe OF 
AAD: 8040f17b 8041f8d3 5501a0b2 47616c6c 
69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 
6573 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 
H: c6a135037878f5b826f4f£8162a1c8d879 


Compute the GMAC tag 


Process the AAD 
AAD word: 8040f17b8041£8d35501a0b247616c6c 
partial hash: 79f41fea34a474a77609d8925e9f2b22 
AAD word: 696120657374206f6d6e697320646976 
partial hash: 84093a2f85abfl7ab37d3ce2f£706138f 
AAD word: 69736120696e20706172746573207472 
partial hash: ab2760fee24e6dec754739d8059cd144 
AAD word: 65730000000000000000000000000000 
partial hash: e84f3c55d287f£c561c41d09a8aada4be 


Process the length word 
length word: 00000000000001900000000000000000 
partial hash: b04200c26b81c98af55cc2eafccdlcbc 


Turn GHASH into GMAC 
GHASH: b0 42 00 c2 6b 81 c9 8a £5 5c c2 ea fc cd 1c bc 
K0: 92 0b 3f 40 b9 3d 2a 1d 1c 8b 5c d1 e5 67 5e aa 
full GMAC: 22 49 3f 82 d2 bc e3 97 e9 d7 9e 3b 19 aa 42 16 


Cipher with tag 
22493f82 d2bce397 e9d79e3b 19aa4216 
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ged packet: 


8040f17b 
69612065 
69736120 
65732249 
4216 


8041f8da3 
7374206£f 
696e2070 
3£82d2bc 


AES-GCM for SRTP 


5501a0b2 
6d6e6973 
61727465 
e397e9d7 


SRTP AEAD AES 128 GCM Tag 


Verifying the following packet: 


8040f17b 
69612065 
69736120 
65732249 
4216 


Form the IV 


S 


Key: 
AAD: 


Cr: 
IV: 
H: 


Verify the received tag 


Process the AAD 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 


| Pad | 


00 00 
alt: 51 75 
IV: 51 75 


00 01 02 
8040f17b 
69612065 
69736120 
6573 

22493f82 
日 二 7536€ 


8041f8da3 
7374206£ 
696e2070 
3£82d2bc 


55 
69 
3c 


03 


SSRC 
01 a0 
64 20 
65 80 


04 05 


8041f8da3 
7374206f 
696e2070 


d2bce397 


65 


80 c2 


5501a0b2 
6d6e6973 
61727465 
e397e9d7 


b2 00 
70 72 
c2 72 


06 07 


47616c6c 
20646976 
73207472 
9e3b19aa 


Verification 


47616c6c 
20646976 
73207472 
9e3b19aa 


ROC | SEQ | 


00 
6f 
6f 


08 


5501a0b2 
6d6e6973 
61727465 


e9d79e3b 


72 6f 


20 


00 00 f1 7b 
20 71 75 6f 
20 71 84 14 


09 Oa Ob Oc Od Oe Of 
47616c6c 
20646976 
73207472 


19aa4216 
71 84 14 


c6a13b37878F£5b826F4£8162a1c8d879 


22 49 3f 82 d2 bc e3 97 e9 d7 9e 3b 19 aa 42 16 


8040£17b8041£8d35501a0b247616c6c 
79f41fea34a474a77609d8925e9F2b22 
696120657374206f6d6e697320646976 
84093a2f85abf1l7ab37d3ce2f706138f 
69736120696e20706172746573207472 
ab2760fee24e6dec754739d8059cd144 
65730000000000000000000000000000 
e84f3c55d287fc561c41d09a8aada4be 


Process the length word 
00000000000001900000000000000000 
partial hash: b04200c26b81c98af55cc2eafccdlcbc 
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Turn GHASH into GMAC 


GHASH: b0 42 00 c2 6b 81 c9 8a 
KO: 92 Ob 3f 40 b9 3d 2a 1d 
full GMAC: 22 49 3f 82 d2 bc e3 97 


December 2015 


f5 5c c2 ea fc cd 1c bc 
lc 8b 5c dl e5 67 5e aa 
e9 d7 9e 3b 19 aa 42 16 


Received tag = 22493f82 d2bce397 e9d79e3b 19aa4216 
Computed tag = 22493f82 d2bce397 e9d79e3b 19aa4216 


Received tag verified. 


16.2. SRTP AEAD AES 256 GCM 


16.2.1. SRTP AEAD AES 256 GCM Encryption 


Encrypting the following packet: 


8040f17b 8041f8d3 
69612065 7374206f 
69736120 696e2070 
6573 


5501a0b2 47616c6c 
6d6e6973 20646976 
61727465 73207472 


Form the IV 


| Pad | SSRC | ROC | SEQ | 
00 00 55 01 a0 b2 00 00 00 00 fl 7b 
salt: 51 75 69 64 20 70 72 6f 20 71 75 6f 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 
Key: 00 01 02 03 04 05 06 07 08 09 Oa Ob Oc Od Oe Of 
10 11 12 13 14 15 16 17 18 19 la 1b 1c 1d le 1f 
AAD: 8040f17b 8041f8d3 5501a0b2 
PT: 47616c6c 69612065 7374206f 6d6e6973 
20646976 69736120 696e2070 61727465 
73207472 6573 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 


H: f29000b62a499fd0a9f39a6add2e7780 
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Encrypt the Plaintext 


December 2015 


block # 0 
Iv||blk_cntr: 51753c6580c2726£2071841400000002 
key block: 75 d0 b2 14 cl 43 de 77 9c eb 58 95 5e 40 5a ag 
plain block: 47 61 6c 6c 69 61 20 65 73 74 20 6f 6d 6e 69 73 
cipher block: 32 bl de 78 a8 22 fe 12 ef 9f 78 fa 33 2e 33 aa 
block # 1 
IV||blk cntr: 51753c6580c2726£2071841400000003 
key block: 91 e4 7b 4e £3 2b 83 d3 dc 65 Oa 72 17 8d da 6a 
plain block: 20 64 69 76 69 73 61 20 69 6e 20 70 61 72 74 65 
cipher block: bl 80 12 38 9a 58 e2 £3 b5 Ob 2a 02 76 ff ae Of 
block # 2 
IV||blk cntr: 51753c6580c2726£2071841400000004 
key block: 68 86 43 eb dd 08 07 98 16 3a 16 d5 e5 04 f6 3a 
plain block: 73 20 74 72 65 73 
cipher block: 1b a6 37 99 b8 7b 
Cipher before tag appended 
32b1de78 a822fe12 ef9f78fa 332e33aa 
51801238 9a58e2f3 b50b2a02 76ffae0f 
1ba63799 b87b 
Compute the GMAC tag 
Process the AAD 
AAD word: 8040f17b8041£8d35501a0b200000000 
partial hash: 0154dcb75485b71880e1957c877351bd 
Process the cipher 
cipher word: 32blde78a822fel2ef9f78fa332e33aa 
partial hash: c3f07db9a8b9cb4345eb07£793d322d2 
cipher word: b18012389a58e2f3b50b2a0276ffael0f 
partial hash: 6d1e66fe32eb32ecd8906ceab09db996 
cipher word: 1ba63799b87b00000000000000000000 
partial hash: b3d1d2f1fa3b366619bc42cd2eedafee 
Process the length word 
length word: 00000000000000600000000000000130 
partial hash: 7debf5falfac3bd318d5ela7ee401091 
Turn GHASH into GMAC 
GHASH: 7d eb f5 fa 1f ac 3b d3 18 d5 el a7 ee 40 10 91 
KO: 07 48 2e cc c0 53 ed 63 el 6e 99 df 39 e7 7c 82 
full GMAC: 7a a3 db 36 df ff d6 bO £9 bb 78 78 d7 a7 6c 13 
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Cipher with tag 


32b1de78 
51801238 
1ba63799 


a822fe12 ef9f78fa 
9a58e2f3 b50b2a02 
b87b7aa3 db36dfff 


332e33aa 
76ffae0Ff 
d6b0f9bb 


Encrypted and 


1:6::2:42:4 


7878d7a7 6c13 


8040f17b 
a822fe12 
9a58e2f£3 
b87b7aa3 
6c13 


8041f£8d3 
ef9f78fa 
b50b2a02 
db36dfff 


tagged packet: 


5501a0b2 
332e33aa 
76ffae0Ff 
d6b0f9bb 


32b1de78 
51801238 
1ba63799 
7878d7a7 


SRTP AEAD AES 256 GCM Decryption 


Decrypting the following packet: 


8040f17b 8041f8d3 
a822fel2 ef9f78fa 
9a58e2f3 b50b2a02 
b87b7aa3 db36dfff 
6c13 


Form the IV 


| Pad | SSRC 

00 00 55 01 aO 

salt: 51 75 69 64 20 

IV: 51 75 3c 65 80 

Key: 00 01 02 03 04 05 

TOÓ- 1T 12-13 14 15 

AAD: 8040f17b 8041f8d3 

CT: 32bl1de78 a822fe12 

51801238 9a58e2f3 

1ba63799 b87b7aa3 
7878d7a7 6c13 

IV: 51 75 3c 65 80 c2 

H: 


Verify the received tag 
7a a3 db 36 df ff d6 b0 £9 bb 78 78 d7 a7 6c 13 


5501a0b2 32b1de78 
332e33aa 01801238 
76ffae0f 1ba63799 
d6b0f9bb 7878d7a7 


| ROC 
00 00 00 
72 6f 20 
72 6f 20 


b2 
70 
c2 


00 
71 
71 


ti 
75 
84 


06 07 08 
16 17 18 
5501a0b2 
ef9f78fa 
b50b2a02 
db36dfff 


09 
19 


0a 
la 


Ob 
1b 


332e33aa 
76ffae0Ff 
d6b0f9bb 


72 6f 20 71 84 14 


£29000b562a499fd0a9f39a6add2e7780 


Process the AAD 


McGrew 


AAD word: 
partial hash: 


& Igoe 


Standards Track 


| SEQ | 


7b 
6f 
14 


Oc 
le 


Od Oe Of 
ld le 1f 


8040£17b8041£8d35501a0b200000000 
0154dcb75485b71880e1957c877351bd 
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Process the cipher 


word: 
hash: 
word: 
hash: 
word: 
hash: 


cipher 
partial 
cipher 
partial 
cipher 
partial 


32b1de78a822fel12ef9f78fa332e33aa 
c3f07db9a8b9cb4345eb07£793d322d2 
b18012389a58e2f3b50b2a0276ffae0Ff 
6d1e66fe32eb32ecd8906ceab09db996 
1ba63799b87b00000000000000000000 
b3d1d2f1fa3b366619bc42cd2eedafee 


Process the length word 


length word: 
partial hash: 


00000000000000600000000000000130 
7debf5falfac3bd318d5ela7ee401091 


Turn GHASH into GMAC 
7d eb £5 fa 1f ac 3b d3 18 d5 el a7 ee 40 10 91 
07 48 2e cc c0 53 ed 63 el 6e 99 df 39 e7 Tc 82 
7a a3 db 36 df ff d6 bO £9 bb 78 78 d7 a7 6c 13 


GHASH: 
K0: 
full GMAC: 


Received tag - 
Computed tag 


Decrypt the cipher 


block # 0 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


block # 1 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


block # 2 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


7aa3db36 dfffd6b0 £9bb7878 d7a76c13 


= 7aa3db36 dfffd6b0 £9bb7878 d7a76c13 
Received tag verified. 


51753c6580c2726£2071841400000002 
75 dO b2 14 cl 43 de 77 9c eb 58 
32 bl de 78 a8 22 fe 12 ef 9f 78 
47 61 6c 6c 69 61 20 65 73 74 20 


51753c6580c2726£2071841400000003 
91 e4 7b 4e £3 2b 83 d3 dc 65 Oa 
bl 80 12 38 9a 58 e2 £3 b5 Ob 2a 
20 64 69 76 69 73 61 20 69 6e 20 


51753c6580c2726£2071841400000004 
68 86 43 eb dd 08 07 98 16 3a 16 
lb a6 37 99 b8 7b 
73 20 74 72 65 73 


Verified and tagged packet: 
47616c6c 69612065 7374206f 6d6e6973 
20646976 69736120 696e2070 61727465 


73207472 6573 


McGrew & Igoe 


Standards Track 


95 
fa 
6f 


72 
02 
70 


d5 


5e 
33 
6d 


17 
76 
61 


e5 


December 2015 


40 
2e 
6e 


5a 
33 
69 


d9 
aa 
73 


8d 
ff 
72 


da 
ae 
74 


6a 
Of 
65 


04 £6 3a 
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16.2.3. SRIP AEAD AES 256 GCM Authentication Tagging 
Tagging the following packet: 


8040f17b 8041f8d3 5501a0b2 47616c6c 
69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 
6573 


Form the IV 
| Pad |  SsRC | ROC | SEQ | 
00 00 55 01 a0 b2 00 00 00 00 f1 7b 
salt: 51 75 69 64 20 70 72 6f 20 71 75 6f 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 


Key: 00 01 02 03 04 05 06 07 08 09 Oa Ob Oc Od Oe OF 
10.11 12 13.14 15 16 17 18.19 1a 1b 16€ 1d 1e 1f 
AAD: 8040f17b 8041f8d3 5501a05b2 47616c6c 
69612065 7374206f 6d6e6973 20646976 
69736120 696e2070 61727465 73207472 
6573 
IV: 51 75 3c 65 80 c2 72 6f 20 71 84 14 
H: £29000b62a499fd0a9f39a6add2e7780 


Compute the GMAC tag 


Process the AAD 
AAD word: 8040f17b8041£8d35501a0b247616c6c 
partial hash: c059753e6763791762ca630d8ef97714 
AAD word: 696120657374206f6d6e697320646976 
partial hash: a4e3401e712900dc4£1d2303bc4b2675 
AAD word: 69736120696e20706172746573207472 
partial hash: lc8claf883de0d67878£379a19c65987 
AAD word: 65730000000000000000000000000000 
partial hash: 958462781aa8e8feacce6d93b54472ac 


Process the length word 
length word: 00000000000001900000000000000000 
partial hash: af2efb5dcfdb9900e7127721fdb56956 


Turn GHASH into GMAC 
GHASH: af 2e fb 5d cf db 99 00 e7 12 77 21 fd b5 69 56 
KO: 07 48 2e cc c0 53 ed 63 el 6e 99 df 39 e7 7c 82 
full GMAC: a8 66 d5 91 Of 88 74 63 06 7c ee fe c4 52 15 d4 


Cipher with tag 
a866d591 0f887463 067ceefe c45215d4 
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Tag 


16.2.4. 


14 


ged packet: 


8040f17b 
69612065 
69736120 
6573a866 
15d4 


AES-GCM for SRTP 


8041f8d3 5501a0b2 47616c6c 
7374206f 6d6e6973 20646976 
696e2070 61727465 73207472 
d5910f£f88 7463067c eefec452 


SRTP AEAD AES 256 GCM Tag Verificat 


Verifying the following packet: 


8040f17b 
69612065 
69736120 
6573a866 
15d4 


Form the IV 


S 


Key: 


AAD: 


CL: 
IV: 
H: 


Verify the received tag 


| Pad | 


00 00 
alt: 51 75 
IV: 51 75 


00 01 02 
TWO. TI 12 
8040f17b 
69612065 
69736120 
6573 

a866d591 
OL 533ec 


8041f8da3 
7374206f 
696e2070 
d5910f88 


SSRC 
55 01 a0 
69 64 20 
3c 65 80 


03 04 05 
13 14 15 
8041£8d3 
73 74206£ 
696e2070 


0£887463 
65 80 c2 


5501a0b2 47616c6c 
6d6e6973 20646976 
61727465 73207472 
7463067c eefec452 


b2 
70 
c2 


06 
16 


ion 


ROC | SEQ | 


00 00 00 00 f1 
72 6f 20 71 75 
72 6f 20 71 84 


07 08 09 0a Ob 
17 18 19 la 1b 


5501a0b2 47616c6c 
6d6e6973 20646976 
61727465 73207472 


067ceefe c45215d4 


72 


6f 20 71 84 14 


£29000b62a499fd0a9f39a6add2e7780 


7b 
6f 
14 


Oc Od Oe Of 
le ld le 1f 


a8 66 d5 91 Of 88 74 63 06 7c ee fe c4 52 15 d4 


Process the AAD 


McGrew 


AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 


& Igoe 


Standards Track 


8040£17b8041£8d35501a0b247616c6c 
c059753e6763791762ca630d8ef97714 
696120657374206f6d6e697320646976 
a4e3401e712900dc4f1d2303bc4b2675 
69736120696e20706172746573207472 
1c8claf883de0d67878£379a19c65987 
65730000000000000000000000000000 
958462781aa8e8feacce6d93b54472ac 


December 2015 
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I3 


Process the length word 
length word: 00000000000001900000000000000000 
partial hash: af2efb5dcfdb9900e7127721fdb56956 


Turn GHASH into GMAC 
GHASH: af 2e fb 5d cf db 99 00 e7 12 77 21 fd b5 69 56 
K0: 07 48 2e cc c0 53 ed 63 e1 6e 99 df 39 e7 7c 82 
full GMAC: a8 66 d5 91 Of 88 74 63 06 7c ee fe c4 52 15 d4 


Received tag = a866d591 0£887463 067ceefe c45215d4 
Computed tag a866d591 0£887463 067ceefe c45215d4 
Received tag verified. 


RTCP Test Vectors 
The examples in this section are all based upon the same RTCP packet: 


81c8000e 44617273 4e545031 4e545031 
52545020 0000042a 0000eb98 4c756e61 
deadbeef deadbeef deadbeef deadbeef 
deadbeef 


with 32-bit SRTCP index 000005d4. 


As shown in Section 9.1, the IV is formed by XORing two 12-octet 
values. The first 12-octet value is formed by concatenating 

two zero octets, the 4-octet SSRC (found in the fifth through 

eighth octets of the RTP packet), another two padding octets, and the 
31-bit SRTCP index, right-justified in a 32-bit = 4-octet field with 
a single "0" bit prepended as padding. An example of SRTCP IV 
formation is shown below: 


| Pad | SSRC | Pad | O+SRTCP | 
00 00 4d 61 72 73 00 00 00 00 05 d4 
salt 51 75 69 64 20 70 72 6f 20 71 75 6f 


IV 51 75 24 05 52 03 72 6f 20 71 70 bb 


In an SRTCP packet, a 1-bit Encryption flag is prepended to the 
31-bit SRICP index to form a 32-bit value we shall call the 

"ESRTCP word". The E-flag is one if the SRTCP packet has been 
encrypted and zero if it has been tagged but not encrypted. Note 
that the ESRTCP field is only present in an SRTCP packet, not in an 
RTCP packet. The full ESRTCP word is part of the AAD. 
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When encrypting and tagging an RTCP packet (E-flag = 1), the SRTCP 
packet consists of the following fields in the following order: 

— The first 8 octets of the RTCP packet (part of the AAD). 
- The cipher. 
- The ESRTCP word (the final part of the AAD). 


- Any Raw Data that might have been appended to the end of the 
original RTCP packet. 


Recall that AEAD treats the authentication tag as an integral part of 
the cipher, and in fact the authentication tag is the last 8 or 

16 octets of the cipher. 

The reader is reminded that when the RTCP packet is to be tagged but 
not encrypted (E-flag = 0), GCM will produce a cipher that consists 
solely of the 8-octet or 16-octet authentication tag. The tagged 
SRTCP consists of the following fields in the order listed below: 

- All of the AAD, except for the ESRTCP word. 

- The cipher (= the authentication tag). 


- The ESRTCP word (the final part of the AAD). 


- Any Raw Data that might have been appended to the end of the 
original RTCP packet. 
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17.1.  SRTCP AEAD AES 128 GCM Encryption and Tagging 


Encrypting the following packet: 
81c8000d 44617273 


52545020 0000042a 
deadbeef deadbeef 


46545031 4e545032 
0000e930 4c756e61 
deadbeef deadbeef 


deadbeef 
Key size - 128 bits 
Tag size = 16 octets 
Form the IV 
| Pad | SSRC | Pad |  SRTCP | 
00 00 4d 61 72 73 00 00 00 00 05 d4 
salt: 51 75 69 64 20 70 72 6f 20 71 75 6f 
IV: 51 75 24 05 52 03 72 6f 20 71 70 bb 
Key: 00 01 02 03 04 05 06 07 08 09 Oa Ob Oc Od Oe OF 
AAD: 81c8000d 4d617273 800005d4 
PT: 4e545031 4e545032 52545020 0000042a 
0000e930 4c756e61 deadbeef deadbeef 
deadbeef deadbeef deadbeef 
IV: 51 75 24 05 52 03 72 6f 20 71 70 bb 


H: c6a135b37878f5b826f4f£8162a1c8d879 


Encrypt the Plaintext 


block # 0 


IV||b1k cntr: 


517524055203726£207170bb00000002 


key_block: 2d bd 18 b4 92 8e e6 4e £5 73 87 46 
plain_block: 4e 54 50 31 4e 54 50 32 52 54 50 20 
cipher block: 63 e9 48 85 dc da b6 7c a7 27 d7 66 
block # 1 
IV||blk cntr: 517524055203726£207170bb00000003 
key block: 7f £5 29 c7 20 73 9d 4c 18 db 1b le 
plain block: 00 00 e9 30 4c 75 6e 61 de ad be ef 
cipher block: 7f £5 c0 £7 6c 06 £3 2d c6 76 a5 fl 
block # 2 
IV||blk cntr: 517524055203726£207170bb00000004 
key block: 92 4d 25 a9 58 9d 83 02 d5 14 99 b4 
plain block: de ad be ef de ad be ef de ad be ef 
cipher block: 4c e0 9b 46 86 30 3d ed 0b b9 27 5b 


Cipher before 
63e94885 
7£f5c0Of7 
4ce09b46 


McGrew & Igoe 


tag appended 

dcdab67c a727d766 2f6b7e99 
6c06£32d c676a5f1 730d6fda 
86303ded 0bb9275b 


Standards Track 


2f 
00 
2f 


ad 
de 
73 


e0 
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6b 
00 
6b 


a0 
ad 
Od 


14 


7a 
04 
7e 


dl 
be 
6f 


78 
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Compute the GMAC tag 


Process the AAD 
AAD word: 
partial hash: 


81c8000d4d617273800005d400000000 
085d6eb166c555aab62982F630430ec6eE 


Process the cipher 


cipher word: 
partial hash: 
cipher word: 
partial hash: 
cipher word: 
partial hash: 


63e94885dcdab67ca727d7662£6b7e99 
8c9221be93466d68bbb16fa0d42b0187 
7ff5c0f76c06f32dc676a5f1730d6fda 
221ebb044ec9fd0bf116d7780£198792 
4ce09b4686303ded0bb9275b00000000 
50£70b9ca110ab312dce212657328dae 


Process the length word 


length word: 
partial hash: 


00000000000000600000000000000160 
7296107c9716534371dfcla30c5ffeb5 


Turn GHASH into GMAC 


GHASH: 


full GMAC: 


December 2015 


72 96 10 7c 97 16 53 43 71 df cl a3 Oc 5f fe b5 


KO: ba dc b4 24 01 d9 le 6c b4 74 39 dl 49 86 14 6b 


Cipher with tag 


63e94885 dcdab67c a727d766 2f6b7e99 
7ff5cOf7 6c06f32d c676a5f1 730d6fda 
4ce09b46 86303ded 0bb9275b c84aa458 
96cf4d2f c5babf872 45d9eade 


Append the ESRTCP word with the E-flag set 
63e94885 dcdab67c a727d766 2f6b7e99 
7ff5cOf7 6c06f32d c676a5f1 730d6fda 
4ce09b46 86303ded 0bb9275b c84aa458 
96cf4d2f c5abf872 45d9eade 800005d4 


Encrypted and tagged packet: 
81c8000d 44617273 63e94885 dcdab67c 
a727d766 2£6b7e99 7ff5cOf7 6c06f32d 
c676a5f1 730d6fda 4ce09b46 86303ded 
0bb9275b c84aa458 96cf4d2f chabf872 
45d9eade 800005d4 


McGrew & Igoe 


Standards Track 


C8 4a a4 58 96 cf 4d 2f c5 ab f8 72 45 d9 ea de 
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17.2.  SRTCP AEAD AES 256 GCM Verification and Decryption 


Key s 
Tag s 


ize = 256 bits 
ize = 16 octets 


AES-GCM for SRTP 


Process the length word 


Decrypting the following packet: 


81c8000d 4d617273 
4ba297e4 7d470c28 
a2eaa5cl 110555be 
6flb6fad 1dleb30c 
b26ac3be 800005d4 
Key size - 256 bits 
Key size = 16 octets 
Form the IV 
| Pad |  SsRC 
00 00 4d 61 72 
salt: 51 75 69 64 20 
IV: 51 75 24 05 52 
Key: 00 01 02 03 04 05 
TOT L2 13.54-15 
AAD: 81c8000d 4d617273 
CT: d50ae4d1 f5ce5d30 
2c3ece5d bffe0a50 
8415f658 c61de047 
4446839f 57ff6f6c 
IV: 51 75 24 05 52 03 
H: 


Verify the received tag 


d50ae4d1 
2c3ece5d 
8415f658 
4446839f 


| Pad | 
73 00 00 
70 72 6f 
03 72 6f 


06 07 08 
16 17 18 
800005d4 
4ba297e4 
a2eaa5cl 
6f1lb6fad 
b26ac3be 
72 6f 20 


f5ce5d30 
bffe0a50 
c61de047 
57ff6f6c 


SRTCP 
00 00 05 
20 71 75 
20 71 70 


09 0a 0b 
19: Ta. Tb 


7d470c28 
110555be 
1d1eb30c 


71 70 bb 


£29000b62a499fd0a9f39a6add2e7780 


d4 
6f 
bb 


Oc 
Ne: 


Od Oe Of 
ld le 1f 


1d le b3 0c 44 46 83 9f 57 ff 6f 6c b2 6a c3 be 


Process the AAD 


AAD word: 
partial hash: 


Process the cipher 


P 


P 


P 


McGrew & 


cipher word: 
artial hash: 
cipher word: 
artial hash: 
cipher word: 
artial hash: 


Igoe 


Standards Track 


81c8000d4d617273800005d400000000 
3ae5afd36dead5280b18950400176b5b 


d50ae4d1f5ce5d304ba297e47d470c28 
e90fab7546£6940781227227ac926ebe 
2c3ece5bdbffe0a50a2eaa5c1110555be 
9p236807d85b2dab07583adce367aa88f 
8415f658c61de0476f1b6fad00000000 
€69313f423a75e3e0b7eb93321700e86 
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Process the length word 


length word: 
partial hash: 


00000000000000600000000000000160 
3a284af2616fdf505faf37eec39fbc8b 


Turn GHASH into GMAC 


GHASH: 
K0: 
full GMAC: 


Received tag 
Computed tag 


3a 
27 
1d 


28 4a £2 61 6f df 50 5f af 37 
36 £9 fe 25 29 56 Gf.08:50 58 
le b3 0c 44 46 83 9f 57 ff 6f 


Received tag verified. 


Decrypt the cipher 


block # 0 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


block # 1 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


block # 2 
IV||b1k cntr: 
key block: 


cipher block: 
plain block: 


517524055203726£20717000500000002 
9b 5e b4 e0 bb Ya Od 02 19 f6 c7 
d5 0a e4 d1 f5 ce 5d 30 4b a2 97 
4e 54 50 31 4e 54 50 32 52 54 50 


517524055203726£20717000500000003 
2c 3e 27 6d f3 8b 64 31 7c 47 1b 
2c 3e ce 5d bf fe 0a 50 a2 ea a5 
00 00 e9 30 4c 75 6e 61 de ad be 


517524055203726£207170bb00000004 
5a b8 48 b7 18 bO 5e a8 bl b6 dl 
84 15 £6 58 c6 1d eO 47 6f 1b 6f 
de ad be ef de ad be ef de ad be 


Verified and decrypted packet: 
81c8000d 4d617273 46545031 4e545032 
52545020 0000042a 0000e930 4c756e61 
deadbeef deadbeef deadbeef deadbeef 


deadbeef 


McGrew & Igoe 
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ee c3 9f bc 8b 
82 71 f5 7f 35 
6c b2 6a c3 be 


ldleb30c 4446839f 57ff6f6c b26ac3be 
ldleb30c 4446839f 57ff6f6c b26ac3be 


c4 
e4 
20 


Td 
Td 
00 


47 
47 
00 


08 
Oc 
04 


02 
28 
2a 


2e 
el 
ef 


Cf 
11 
de 


a8 
05 
ad 


eb 
55 
be 


51 
be 
ef 


42 
ad 
ef 


3b 74 39 55 
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17.335 


AES-GCM for SRIP 


SRTCP AEAD AES 128 GCM Tagging Only 


Tagging the following packet: 


81c8000d 4d617273 
52545020 0000042a 
deadbeef deadbeef 
deadbeef 
Key size - 128 bits 
Tag size = 16 octets 
Form the IV 
| Pad | SSRC 
00 00 4d 61 72 
salt: 51 75 69 64 20 
IV: 51 75 24 05 52 
Key: 00 01 02 03 04 05 
AAD: 81c8000d 4d617273 
52545020 0000042a 
deadbeef deadbeef 
deadbeef 000005d4 
IV: 51 75 24 05 52 03 
H: 


46545031 
0000e930 
deadbeef 


| Pad | 
73 00 00 
70 72 6f 
03 72 6f 


06 07 08 
46545031 
0000e930 
deadbeef 


72 6f 20 


46545032 
4c756e61 
deadbeef 


SRTCP 
00 00 05 
20 71 75 
ZQCHs-T 


09 0a 0b 
46545032 
4c756e61 
deadbeef 


71 70 bb 


c6a13b37878F5b826f4£8162a1c8d879 


Compute the GMAC tag 


Process the AAD 


AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 


Process the length word 


length word: 
partial hash: 


Turn GHASH into GMAC 
GHASH: 3e cl 6d 4c 3c 0e 90 a5 9e 91 be 41 5b d9 76 d8 
K0: ba dc b4 24 01 d9 1e 6c b4 74 39 d1 49 86 14 6b 
full GMAC: 84 1d d9 68 3d d7 8e c9 2a e5 87 90 12 5f 62 b3 


McGrew 
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d4 
6f 
bb 


Oc Od Oe Of 


81c8000d4d6172734e5450314e545032 
f8dbbe278e06afel7fb4fb2e67f0a22e 
525450200000042a0000e9304c756e61 
6ccd900dfd0eb292f£68f£8a410d0648ec 
deadbeefdeadbeefdeadbeefdeadbeef 
6a14be0ea384c6b746235ba955a57ff5 
deadbeef000005d40000000000000000 
cc81f14905670a1e37£8bc81a91997cd 


00000000000001c00000000000000000 
3ecl6d4c3c0e90a59e91be415bd976d8 
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Cipher with tag 
3dd78ec9 


841dd968 


Tagged packet: 


81c8000d 
52545020 
deadbeef 
deadbeef 
125£62b3 


40617273 
0000042a 
deadbeef 
841dd968 
000005d4 


17.4. SRTCP AEAD AES 256 


Key size 


256 bits 


Tag size = 16 octets 


Process the 
Verifying the 


81c8000d 
52545020 
deadbeef 
deadbeef 
ed2615fe 


AES-GCM for SRTP 


2ae58790 


4e 
00 
de 


545031 
00e930 
adbeef 


3dd78ec9 


125f62b3 


4e545032 
4c756e61 
deadbeef 
2ae58790 


. GCM Tag Verification 


length word 
following packet: 


4d617273 
0000042a 
deadbeef 
91db4afb 
000005d4 


Key size = 256 bits 
Key size = 16 octets 


Form the IV 
| Pad | 
00 00 
salt: 51 75 
IV: 51 75 


Key: 00 01 02 
LOAL: 352 

AAD: 81c8000d 
52545020 
deadbeef 
deadbeef 

CT: 91db4afb 
IV: 51 75 24 


4d 
69 
24 


03 
13 


SSRC 
61 72 
64 20 
05 52 


04 05 
14 15 


4d617273 
0000042a 
deadbeef 
000005d4 
feee5a97 


05 


52 03 


4e545031 4e545032 
0000e930 4c756e61 
deadbeef deadbeef 
feee5a97 8fab4393 


73 
70 
03 


06 
16 
4e 
00 
de 


| Pad | 


00 00 
72 6f 
72 6f 


07 08 
17 18 
545031 
00e930 
adbeef 


00 
20 
20 


09 
19 


SRTCP 
00 05 
71 75 
Vic 


Oa Ob 
la 1b 


4e545032 
4c756e61 
deadbeef 


8f 
72 


ab4393 
6f 20 


ed2615fe 


71 


70 bb 


H: £29000b62a499fd0a9f39a6add2e7780 


Verify the received tag 
91 db 4a fb fe ee 5a 97 8f ab 43 93 ed 26 15 fe 
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Process the AAD 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 
AAD word: 
partial hash: 


AES-GCM for SRTP 


81c8000d4d6172734e5450314e545032 
7bc665c71676a5a5£663b3229af4b85c 
525450200000042a0000eC9304c756e61 
34ed77752703ab7d69£44237910e3bc0 
deadbeefdeadbeefdeadbeefdeadbeef 
74a59f1a99282344d64ab1c8a2be6cf8 
deadbeef000005d40000000000000000 
126335c0baa7ab1b79416ceeb9f7a518 


Process the length word 


length word: 
partial hash: 


00000000000001c00000000000000000 
b6edb305dbc7065887fb1b119cd36acb 


Turn GHASH into GMAC 
b6 ed b3 05 db c7 06 58 87 fb 1b 11 9c d3 6a cb 
27 36 £9 fe 25 29 5c cf 08 50 58 82 71 £5 7f 35 
91 db 4a fb fe ee 5a 97 8f ab 43 93 ed 26 15 fe 


GHASH: 
K0: 
full GMAC: 


Received tag 
Computed tag 


Received tag verified. 


Verified packet: 


81c8000d 4d617273 46545031 4e545032 
52545020 0000042a 0000e930 4c756e61 
deadbeef deadbeef deadbeef deadbeef 


deadbeef 
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91db4afb feee5a97 8fab4393 ed2615fe 
= 91db4afb feee5a97 8fab4393 ed2615fe 
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